博客在墙外的生活……

自从博客被封在墙外之后,

Autoproxy永远处在Automatic Mode了,

所有的翻墙软件都要不断更新,

上Twitter比以往更多了,

我的博客访问量由以前的很少变为现在的几乎没有了,

出现了一个奇怪的现象,以前的spammer要么是英文的,要么是看不懂的怪符号,但现在都没有了,难道是中国的spammer?

那为什么不用中文发spam呢?

奇怪。

博客在墙外了,这个本来属于我自己的小天地更像我自己的小天地了,

我感觉自己更敢于在这里抒发自己的想法了,

虽然尚且没有抒发过什么想法。

墙外的博客让我感觉不到墙的存在。

帮忙宣传一下[转]CNNIC CA:最最最严重安全警告!

各位,虽然此事与 AutoProxy 无关,但它对所有(也包括 AutoProxy)用户都是一个非常严重的安全威胁。我,WCM,AutoProxy 作者,以个人名誉强烈建议您认真阅读并采取措施。

背景知识

网上传输的任何信息都有可能被恶意截获。尽管如此,我们仍然在网上保存着很多重要的资料,比如私人邮件、银行交易。这是因为,有一个叫着 SSL/TLS/HTTPS 的东西在保障我们的信息安全,它将我们和网站服务器的通信加密起来。

如果网站觉得它的用户资料很敏感,打算使用 SSL/TLS/HTTPS 加密,必须先向有 CA (Certificate Authority) 权限的公司/组织申请一个证书。有 CA 权限的公司/组织都是经过全球审核,值得信赖的。

发生了什么事

最近,CNNIC——对,就是那个臭名昭著的利用系统漏洞发布流氓软件的、就是那个使劲忽悠 CN 域名又突然停止域名解析的 CNNIC (中国互联网络信息中心),它——偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!

意味着什么

意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!

这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!

你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?
我对此有3个疑问:

  1. 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
  2. CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
  3. 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守?

影响范围

基本上所有浏览器的所有用户均受影响!

行动第一步:立即安全防御

在此只介绍 Firefox 浏览器的防御方法,其它浏览器的用户请自行 Google,原理类似。

  • 菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
  • 这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 “CNNIC ROOT” 的记录,就是这个东西,告诉 Firefox,我们不信任它!
  • 选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
  • 还没有完,狡兔有三窟。
  • 接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 “CNNIC SSL” (如果没有,访问一下 这个网站 就有了)
  • 别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 “Entrust.net Secure Server Certification Authority” 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust 的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
  • 最后,让我们验证一下。重启 Firefox,打开 这个这个 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安全威胁!

行动第二步:治标还需治本

几天前听到这个消息的时候,我简单地、轻蔑地将 CNNIC 删除了事。可是这个周末,我忽然觉得这样很不好。因为只要它存在,始终会有大部分的用户受到威胁。和写 AutoProxy 时同样的想法:如果大部分人都处于安全威胁当中,一个人苟且偷安又有什么意义?如果不能将自由与安全的门槛降低一点点,所谓的技术又有什么好侥幸的?

所以我呼吁大家,贡献一点时间和知识,团结起来说服各浏览器取消 CNNIC 的 CA 权限。这种事不可能有公司来推动,只有我们社区。

首先推荐的是 Firefox,作为一个公益组织 Mozilla 的决策过程更为开放、更愿意听取社区的声音。Bug 476766 记录了事件的全过程。Bug 542689Mozilla.dev.security.policy 进行着现在的讨论(注意,你可以把自己添加到 Bugzilla 的 CC List 以表达你对此事的关切。但是不要随便说一些不靠谱的话,免遭讨厌。强调政治、GFW 的之类的不管用,必须就事论事。比如它在申请过程中采取欺骗、隐瞒的手段,或者申请成功后的某些行为违反了 Mozilla 的 CA 政策;比如它的属性和过往行为表明它不会忠于自己的职责,而(帮助)做出 MITM 这种 CA 共愤的事情)。

其次是 Entrust,它说它信任,导致了我们也被迫信任 CNNIC SSL。不妨 告诉 Entrust 此事很严重,因为它错误地信任了 CNNIC,大量用户不得不删除它的 CA。如果能找到使用 Entrust 证书的网站更好。给这些网站写信,因为此次事件我们不得不删除了 Entrust 的 CA,请求他们另选别家认证。如果反响强烈,势必给 Entrust 造成很大压力。

除此之外,来投个票吧结果统计)!

最后,强烈建议大家,发现证书警告的时候最好直接关掉,不要轻易添加例外。证书的信任体系是一级依赖一级的,一不小心你可能就会连带信任一个不想信任的 CA。上面用于验证的两个网站,不妨定期(每周/每月)测一测,如果哪天你发现其中的任何一个网站没有证书警告,就要注意了!

各位:
DNS 劫持已然成为常态,不要让 SSL 劫持再次普及!此事刚刚发布,尚有评议空间。待时间流逝,你我皆成温水中之青蛙!

CNNIC

又是一个新起点

又是一个新起点。

离开英语培训这个行业,进入了将计算机技术与语言学习相结合的领域,这是我多年来的一个愿望。

从高中与同学一起办英语培训班算起,在英语培训这个行业里折腾了将近十年。与朋友创办过海豚俱乐部,开过培训学校——八八四六教育科技有限公司,在大大小小的培训学校做过老师、演讲师、教学总监,做过2008北京奥运会志愿者外语培训教学总监、教材主编,编过无数本培训教材……

回头来看,已经对中国的这个行业极其厌倦了。厌倦的原因是举目望去,感觉破烂不堪、极其低端。绝大多数的培训机构都很功利与浮躁。国内那几家所谓的大机构其实从语言教育方面看,几乎没有任何贡献。所谓的高端,也都是从国外引进一款软件再加上面授课,然后把课程以天价售出。

实在觉得太没水准了。

站在这新的起点上,心里充满了憧憬。研发出中国自己的最符合中国人的语言教育产品,让它改变人们的学习方式。

Google忍无可忍,无须再忍!

我曾经说劝Google不要在这个国家发展了,但今天它真的要重新考虑在中国的发展了,还是让人心里不是滋味。唉,忍无可忍,无须再忍!

以下内容引自Google官方博客,我作了翻译以便大家阅读。

A new approach to China
对中国的新举措

Like many other well-known organizations, we face cyber attacks of varying degrees on a regular basis. In mid-December, we detected a highly sophisticated and targeted attack on our corporate infrastructure originating from China that resulted in the theft of intellectual property from Google. However, it soon became clear that what at first appeared to be solely a security incident–albeit a significant one–was something quite different.
跟其它很多知名组织一样,我们都要面对经常发生的不同程度的攻击。就在12月中旬,我们探测到了一次来自中国的非常复杂的、针对我们的企业基础架构的攻击,最终导致Google的知识产权被盗。然而,很快事情就变得很清楚了,这个起初看似是单一的安全事故的事情——尽管非常严重——其实是一件非常不同的事件。

First, this attack was not just on Google. As part of our investigation we have discovered that at least twenty other large companies from a wide range of businesses–including the Internet, finance, technology, media and chemical sectors–have been similarly targeted. We are currently in the process of notifying those companies, and we are also working with the relevant U.S. authorities.
首先,这次攻击不止是针对Google。我们调查的部分结果发现,至少有20家各个行业的公司——包括互联网、金融、技术、媒体和化工——都成为了相同的目标。我们现在正在通知这些公司,同时我们也正在和美国权威人士一起调查。

Second, we have evidence to suggest that a primary goal of the attackers was accessing the Gmail accounts of Chinese human rights activists. Based on our investigation to date we believe their attack did not achieve that objective. Only two Gmail accounts appear to have been accessed, and that activity was limited to account information (such as the date the account was created) and subject line, rather than the content of emails themselves.
第二,我们有证据表明攻击者的主要目标是入侵中国人权活动人士的Gmail帐户。基于目前的调查我们相信它们的攻击没有得逞。只有两个Gmail帐户被入侵,并且攻击活动仅限于帐户信息(例如帐户创建日期)和邮件的主题行,而邮件内容本身并未受影响。

Third, as part of this investigation but independent of the attack on Google, we have discovered that the accounts of dozens of U.S.-, China- and Europe-based Gmail users who are advocates of human rights in China appear to have been routinely accessed by third parties. These accounts have not been accessed through any security breach at Google, but most likely via phishing scams or malware placed on the users’ computers.
第三,通过这次调查的一部分(但不是针对攻击Google的事件)我们发现,许多基于美国、中国和欧洲的提倡中国人权的Gmail用户会定期被第三方入侵。这些帐户没有被通过对Google的任何安全冲击而侵入,但很可能是通过网络钓鱼陷阱或者是用户计算机上的恶意软件。

We have already used information gained from this attack to make infrastructure and architectural improvements that enhance security for Google and for our users. In terms of individual users, we would advise people to deploy reputable anti-virus and anti-spyware programs on their computers, to install patches for their operating systems and to update their web browsers. Always be cautious when clicking on links appearing in instant messages and emails, or when asked to share personal information like passwords online. You can read more here about our cyber-security recommendations. People wanting to learn more about these kinds of attacks can read this U.S. government report (PDF), Nart Villeneuve’s blog and this presentation on the GhostNet spying incident.
我们已经利用从这次攻击获得的信息进行了基础设施与架构的改进,为Google和我们的用户增强了安全性。就用户而言,我们建议在他们的计算机上部署知名的杀毒软件和反间谍软件,对操作系统安装补丁,并且升级他们的网页浏览器。在点击即时聊天工具和邮件里出现的链接或者在线被问及要共享其个人信息(如密码)时,一定要谨慎。你可以点击这里了解更多关于我们的网络安全建议。想要了解更多关于这些攻击的人可以阅读这个美国政府的报告(PDF)、Nart Villeneuve’s blog这个在GhostNet上的间谍活动的演示。

We have taken the unusual step of sharing information about these attacks with a broad audience not just because of the security and human rights implications of what we have unearthed, but also because this information goes to the heart of a much bigger global debate about freedom of speech. In the last two decades, China’s economic reform programs and its citizens’ entrepreneurial flair have lifted hundreds of millions of Chinese people out of poverty. Indeed, this great nation is at the heart of much economic progress and development in the world today.
像这样如此大范围地共享这些攻击的信息是我们迈出的不寻常的一步。这不仅是因为我们的发现对安全与人权所产生的影响,更是因为这个信息涉及到了更大的全球性的对于言论自由的辩论。在过去的二十年里,中国的经济改革政策和其公民的企业家才能让数亿中国人脱离了贫穷。确实,今天这个伟大的国家正处在世界经济进程与发展的中心。

We launched Google.cn in January 2006 in the belief that the benefits of increased access to information for people in China and a more open Internet outweighed our discomfort in agreeing to censor some results. At the time we made clear that “we will carefully monitor conditions in China, including new laws and other restrictions on our services. If we determine that we are unable to achieve the objectives outlined we will not hesitate to reconsider our approach to China.”
我们于2006年1月启动了Google.cn,带着这样的信念:提升中国人民对信息的获取和拥有一个更加开放的互联网所带来的利益比我们同意审查一部分搜索结果所带来的不适更重要。在那时我们很清楚地表示过“我们会小心翼翼地监视中国的情况,包括新的法律及其它对我们的服务的限制。如果我们确定我们无法达到所描述的目标,我们就会毫不犹豫地重新考虑我们对中国的举措。”

These attacks and the surveillance they have uncovered–combined with the attempts over the past year to further limit free speech on the web–have led us to conclude that we should review the feasibility of our business operations in China. We have decided we are no longer willing to continue censoring our results on Google.cn, and so over the next few weeks we will be discussing with the Chinese government the basis on which we could operate an unfiltered search engine within the law, if at all. We recognize that this may well mean having to shut down Google.cn, and potentially our offices in China.
这些攻击和它们所揭露的监控(结合过去一年来对网络言论的进一步限制)让我们得出一个结论:我们应当重新检查在中国进行商业运作的可行性。我们已经决定我们已不再愿意继续审查Google.cn的搜索结果,并且接下来的几星期里我们将与中国政府讨论在法律允许的范围内运作一个不过滤的搜索引擎,如果有可能的话。我们认识到这可能会意味着不得不关闭Google.cn,并且很可能还有我们在中国的办公室。

The decision to review our business operations in China has been incredibly hard, and we know that it will have potentially far-reaching consequences. We want to make clear that this move was driven by our executives in the United States, without the knowledge or involvement of our employees in China who have worked incredibly hard to make Google.cn the success it is today. We are committed to working responsibly to resolve the very difficult issues raised.
作出重新检查我们在中国的商业运作的决定是极其艰难的,并且我们知道这将会导致潜在的深远的后果。我们要澄清这样的举动是我们在美国的执行者们所推动的,我们在中国的员工并不知悉也没有参与,他们通过无法想象的努力工作才造就了Google.cn今天的成就。我们决心要负责任地解决所导致的非常坚难的后果。

Posted by David Drummond, SVP, Corporate Development and Chief Legal Officer
发布者:David Drummond,高级副总裁、企业发展与首席法律官